[发明专利]一种可信自助服务系统的建立方法

权利要求书

1.一种可信自助服务系统的建立方法，其特征在于，包括以下步骤：

自助终端向服务端发送终端在平台的身份信息，所述服务端将所述终端在平台的身份信息发送给平台信任服务模块；

所述平台信任服务模块判断所述终端在平台的身份信息是否对应一个有效的密码模块密钥，如果是，所述平台信任服务模块向所述服务端发送验证成功消息，所述服务端允许所述自助终端的访问；否则，所述平台信任服务模块向所述服务端发送验证失败消息，所述服务端拒绝所述自助终端的访问；

所述服务端接收到所述自助终端的访问之后，还包括：

所述服务端向所述自助终端发送安全要求信息；

所述自助终端从所述安全要求信息中提取安全属性，根据所述安全属性生成映射关系获取请求，将所述映射关系获取请求发送给所述平台信任服务模块；

所述平台信任服务模块根据所述映射关系获取请求，获取安全属性，根据所述安全属性，查询对应的属性映射关系证书和最新的证书撤销列表，将查询到的属性映射关系证书和证书撤销列表发送给所述自助终端；

所述自助终端基于所述属性映射关系证书和所述证书撤销列表，与所述服务端进行平台完整性的远程证明；

所述自助终端通过所述服务端向所述平台信任服务模块发送终端在平台的身份信息之前，还包括：

所述自助终端向所述服务端发送终端在平台的身份密钥证书；

所述服务端向所述自助终端发送随机数和远程证明请求；

所述自助终端获取完整性度量结果，使用所述终端在平台的身份密钥证书和所述随机数对所述完整性度量结果进行签名，得到签名结果；

所述自助终端对所述完整性度量结果和所述签名结果进行组合，将组合得到的远程证明结果发送给所述服务端；

所述服务端从所述远程证明结果中获取所述签名结果和所述完整性度量结果，并在使用所述随机数和所述终端在平台的身份密钥证书对所述签名结果验证通过后，根据所述完整性度量结果，对所述自助终端进行完整性评估，将得到的完整性评估结果发送给所述自助终端。

2.如权利要求1所述的方法，其特征在于，所述服务端向所述自助终端发送随机数和远程证明请求之前，还包括：

所述服务端对所述终端在平台的身份密钥证书进行验证；

所述服务端向所述自助终端发送随机数和远程证明请求，具体为：

如果所述服务端对所述终端在平台的身份密钥证书验证通过，所述服务端向所述自助终端发送随机数和远程证明请求；

所述服务端对所述终端在平台的身份密钥证书进行验证之后，还包括：

如果所述服务端对所述终端在平台的身份密钥证书验证未通过，所述服务端断开与所述自助终端之间的连接。

3.如权利要求1所述的方法，其特征在于，所述自助终端向所述服务端发送终端在平台的身份密钥证书之前，还包括：

所述自助终端中的操作系统内核计算所述自助终端中的组件的完整性度量值，将所述完整性度量值添加到度量日志列表中；

所述自助终端获取完整性度量结果，具体为：

所述自助终端从所述度量日志列表中读取完整性度量值，作为完整性度量结果。

4.如权利要求3所述的方法，其特征在于，所述组件为用户进程；

所述操作系统内核计算所述组件的完整性度量值，具体为：

所述操作系统内核判断所述度量日志列表中是否包含所述用户进程的完整性度量值；

如果所述度量日志列表中不包含所述用户进程的完整性度量值，所述操作系统内核计算所述用户进程的完整性度量值，将所述用户进程的完整性度量值添加到所述度量日志列表中；

如果所述度量日志列表中包含所述用户进程，且dirty位置位，所述操作系统内核计算所述用户进程的完整性度量值，并在判断出所述用户进程的完整性度量值与所述度量日志列表中与所述用户进程对应的完整性度量值不相等之后，将所述度量日志列表中与所述用户进程对应的完整性度量值删除，将计算得到的所述用户进程的完整性度量值添加到所述度量日志列表中。

5.如权利要求3或4所述的方法，其特征在于，所述自助终端内置有安全芯片，所述度量日志列表存储在所述安全芯片的平台配置寄存器中。

6.如权利要求5所述的方法，其特征在于，所述操作系统内核计算所述组件的完整性度量值之前，还包括：

所述安全芯片对基本输入输出系统进行可信度量，并在验证出所述基本输入输出系统可信后，将系统控制权转移给所述基本输入输出系统；

所述基本输入输出系统对主引导记录进行可信度量，并在验证出所述主引导记录可信后，将系统控制权转移给所述主引导记录；

所述主引导记录对操作系统装载程序进行可信度量，并在验证出所述操作系统装载程序可信后，将系统控制权转移给所述操作系统装载程序；

所述操作系统装载程序对所述操作系统内核进行可信度量，并在验证出所述操作系统内核可信后，将系统控制权转移给所述操作系统内核。